Comunicado de Segurança da Microsoft (2728973)
Certificados digitais não autorizados podem permitir falsificação
Publicado: | Atualizado:
Versão: 1.2
Informações Gerais
Sinopse
A Microsoft está ciente das autoridades de certificado da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Em uma revisão de rotina, nós colocamos estes certificados no Armazenamento de certificados não confiáveis e os substituímos por autoridades novas de certificado que atendem ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI). Não estamos cientes de qualquer uso incorreto das autoridades de certificado, mas tomamos ações de prevenção para proteger os clientes. Este problema afeta todas as versões suportadas do Microsoft Windows.
A Microsoft está oferecendo uma atualização para todas as versões suportadas do Microsoft Windows. A atualização coloca os seguintes certificados da CA intermediários no Armazenamento de certificados não confiáveis:
- Microsoft Genuine Windows Phone Public Preview CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 certificados)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 certificados)
- Microsoft Online Svcs CA3 (2 certificados)
- Microsoft Online Svcs CA4 (2 certificados)
- Microsoft Online Svcs CA5 (2 certificados)
- Microsoft Online Svcs CA6
Recomendação. Para versões com suporte do Microsoft Windows, a Microsoft recomenda que os clientes apliquem a atualização imediatamente. Para obter mais informações, consulte a seção Ações sugeridas deste comunicado.
Problemas conhecidos. O Artigo 2728973 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização.
Detalhes do Comunicado
Referências ao problema
Para obter mais informações sobre este problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Microsoft Knowledge Base | 2728973 |
Dispositivos e softwares afetados
Este comunicado descreve os seguintes softwares e dispositivos afetados:
| Softwares afetados |
|---|
| Sistema operacional |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados no Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados no Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits |
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 |
| Windows 7 para Sistemas Service Pack 1 baseados em x64 |
| Windows Server 2008 R2 para sistemas baseados em x64 |
| Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64 |
| Windows Server 2008 R2 para sistemas baseados no Itanium |
| Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em Itanium |
| Opção de instalação de núcleo de servidor |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação do núcleo do servidor) |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do núcleo do servidor) |
| Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor) |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação do núcleo do servidor) |
| Dispositivos não afetados |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Perguntas frequentes
Qual é o escopo do comunicado?
O propósito deste comunicado é notificar aos clientes que a Microsoft está ciente das autoridades de certificado da Microsoft estão fora de nossas práticas recomendadas de armazenamento seguro. Em uma revisão de rotina e tomando bastante cuidado, nós colocamos estes certificados no Armazenamento de certificados não confiáveis e os substituímos por autoridades novas de certificado que atendem ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI). Não estamos cientes de qualquer uso incorreto das autoridades de certificado, mas tomamos ações de prevenção para proteger os clientes. Este problema afeta todas as versões suportadas do Microsoft Windows.
A Microsoft lançou uma atualização para todas as versões com suporte do Microsoft Windows para ajudar a solucionar este problema.
Esta atualização aborda outros certificados digitais não autorizados?
Sim, além de abordar os vinte e oito certificados não autorizados descritos neste comunicado, esta atualização é cumulativa e aborda certificados digitais não autorizados descritos em comunicados anteriores: Comunicado de Segurança da Microsoft 2524375, Comunicado de Segurança da Microsoft 2607712, Comunicado de Segurança da Microsoft 2641690 e Comunicado de Segurança da Microsoft 2718704.
Observe que, embora esta atualização aborde certificados descritos em comunicados anteriores, ela não contém todas as funcionalidades introduzidas em comunicados anteriores. Para obter mais informações, consulte os problemas conhecidos no Artigo 2728973 (em inglês) da Microsoft Knowledge Base.
O Windows 8 Release Preview ou o Windows Server 2012 Release Candidate é afetado por alguma das vulnerabilidades abordadas neste comunicado?
Sim. A atualização está disponível para o Windows 8 Release Preview e o Windows Server 2012 Release Candidate. Recomendamos que os clientes do Windows 8 Release Preview e Windows Server 2012 Release Candidate apliquem essas atualizações em seus sistemas. Para informação sobre como aplicar a atualização no Windows 8 Release Preview e no Windows Server 2012 Release Preview, consulte a seção Ações sugeridas deste comunicado.
O que é criptografia?
A criptografia é a ciência de proteger informações convertendo-as entre seu estado legível normal (chamado texto sem formatação) e outro em que os dados são ocultados (conhecido como texto codificado ou cifrado).
Em todas as formas de criptografia, um valor conhecido como uma chave é usado junto com um procedimento chamado de algoritmo criptografado para transformar dados de texto sem formatação em texto codificado. No tipo de criptografia mais familiar, criptografia de chave secreta, o texto codificado é revertido a texto sem formatação usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para reverter o texto codificado a texto sem formatação.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um pedaço inviolável de dados que empacota uma chave pública junto com a informação sobre eles - quem a mantém, para que pode ser usada, quando expira, etc.
Para que são usados os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente você não terá que pensar sobre certificados. Talvez você veja uma mensagem informando que determinado certificado está expirado ou é inválido. Nesses casos, você deve seguir as instruções da mensagem.
O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.
O que é uma Lista de certificados confiáveis (CTL)?
Deve haver confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se entidades ou pessoas são quem eles alegam ser. Um certificado é publicado para uma entidade por terceiros que são confiáveis pelas outras partes. Assim sendo, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. CryptoAPI implementou uma metodologia para permitir que desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamada assuntos) é chamada lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de Confiança de Certificado.
O que causou o problema?
A Microsoft está ciente das autoridades de certificado da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Não estamos cientes de qualquer uso incorreto das autoridades de certificado, mas tomamos ações de prevenção para proteger os clientes.
Para que um invasor pode usar a vulnerabilidade?
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques a intermediários.
O que é um ataque de intermediário?
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.
O que a Microsoft está fazendo para ajudar a resolver este problema?
Nós colocamos as autoridades de certificação da Microsoft no Armazenamento de certificados não confiáveis e as substituímos por autoridades novas de certificado que atendem ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI).
Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?
Para sistemas que usam o atualizador automático de certificados revogados (consulte artigo 2677070 (em inglês) da Microsoft Knowledge Base para obter detalhes), inclusive Windows 8 Release Preview e Windows Server 2012 Release Candidate, você pode verificar o log de aplicativo no Event Viewer para uma entrada com os seguintes valores:
- Fonte: CAPI2
- Nível: Informação
- ID do evento: 4112
- Descrição: Autoatualização bem-sucedida de lista de certificados rejeitados com a data de vigência: Quinta-feira, 21 de junho de 2012 (ou posteriormente).
Para sistemas que não usam o atualizador automático de certificados revogados, no snap-in de MMC de Certificados, verifica-se que os seguintes certificados foram adicionados à pasta de Certificados não confiáveis:
| Certificado | Emitido por | Thumbprint |
|---|---|---|
| Microsoft Genuine Windows Phone Public Preview CA01 | Microsoft Windows Phone PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| Microsoft IPTVe CA | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
| Microsoft Online CA001 | Microsoft Services PCA | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | Microsoft Services PCA | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | Microsoft Services PCA | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
| Microsoft Online Svcs BPOS APAC CA3 | Microsoft Services PCA | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | Microsoft Services PCA | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | Microsoft Services PCA | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
| Microsoft Online Svcs BPOS APAC CA6 | Microsoft Services PCA | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
| Microsoft Online Svcs BPOS CA1 | Microsoft Services PCA | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
| Microsoft Online Svcs BPOS EMEA CA1 | Microsoft Services PCA | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
| Microsoft Online Svcs BPOS EMEA CA2 | Microsoft Services PCA | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | Microsoft Services PCA | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
| Microsoft Online Svcs BPOS EMEA CA4 | Microsoft Services PCA | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | Microsoft Services PCA | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | Microsoft Services PCA | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | Microsoft Services PCA | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
Observação Para informações sobre como visualizar certificados com o MMC Snap-in, consulte o artigo do MSDN, Passo a passo: Visualize certificados com o Snap-in de MMC.
Ações sugeridas
Para edições com suporte do Windows XP e Windows Server 2003
A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização KB2728973 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.
Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar a atualização KB2728973 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2728973 (em inglês) da Microsoft Knowledge Base.
Para edições com suporte do Windows Vista , Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview e Windows Server 2012 Release Preview
A maioria de clientes tem atualizações automáticas habilitadas e não precisará tomar nenhuma providência, porque um atualizador automático de certificados revogados corrigirá o problema automaticamente adicionando os certificados ao Armazenamento de certificados não confiáveis.
O atualizador automático de certificados revogados está disponível para Windows Vista, Windows Server 2008, Windows 7, e Windows Server 2008 R2 pelo serviço Microsoft Update e é descrito no artigo 2677070 (em inglês) da Microsoft Knowledge Base. O atualizador automático de certificados não confiáveis é incluído no Windows 8 Release Preview e Windows Server 2012 Release Candidate.
Para usuários finais que não têm o atualizador automático de certificados revogados (2677070) nem de sistemas que não são conectados à Internet, a Microsoft recomenda que os clientes apliquem manualmente a atualização KB2728973 imediatamente. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2728973 (em inglês) da Microsoft Knowledge Base.
Para administradores e instalações empresariais, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualização. Para obter mais informações sobre a atualização, consulte o Artigo 2728973 (em inglês) da Microsoft Knowledge Base.
Ações adicionais sugeridas
- Proteja seu PC
Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu Computador.
Para obter mais informações sobre como ficar protegido na Internet, visite a Central de Segurança da Microsoft.
- Mantenha o software da Microsoft atualizado
Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.
Outras informações
Microsoft Active Protections Program (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Comentários
- Você pode fazer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente e Contato.
Suporte
- Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.
Aviso de isenção de responsabilidade
As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.
Revisões
- V1.0 (10 de julho de 2012): Comunicado publicado.
- V1.1 (11 de julho de 2012): Corrigida a lista de certificados rejeitados, com a data de vigência "Quinta-feira, 21 de junho de 2012 (ou posteriormente)" na entrada de Perguntas frequentes "Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?".
- V1.2 (5 de setembro de 2012): Corrigido o nome comum do certificado "CN=Microsoft Online Svcs BPOS APAC CA4" publicado pelo Microsoft Services PCA.